- お知らせ
《続報》弊社個人向けカジュアルギフトサービス「giftee」への不正アクセスの発生とパスワード変更のお願いについて
2020年8月28日(金)に開示いたしましたした「弊社個人向けカジュアルギフトサービス「giftee」への不正アクセスの発生とパスワード変更のお願いについて(第一報)」のとおり、弊社が運営する、個人向けカジュアルギフトサービス「giftee」(以下、giftee)において、外部で不正に取得されたと思われるID(メールアドレス)・パスワードを使った「なりすまし」による不正アクセスが発生した件につきまして、以下の通り続報いたします。
上記の不正アクセスの発生を受けまして、その後ログイン画面に対するセキュリティ設定の強化、アクセスについての監視を強化を行いましたところ、2020年9月12日(土)に再び不正なアクセスを検知いたしました。
2020年8月24日(月)と同様、不正なアクセスは「リスト型アカウントハッキング(リスト型攻撃)」の手法で行われていると推測され、現時点で判明している範囲で、新たに不正ログインが確認されたアカウント数は74件、そのうち3名のお客様につきましては不正ログイン後に登録内容を改ざんされ、不正決済が行われたことを確認いたしました。
これを受け、弊社はお客様情報の保護を最優先に、追加対応といたしまして、gifteeへのメールアドレスによるログインに一部制限を設ける対応(ログイン時に都度パスワードの再設定を必須とする対応)を、2020年9月12日(土)より実施しております。
お客様や関係者の皆様には、ご迷惑とご心配をおかけいたしますこと、深くお詫び申し上げます。
引き続き、同様の事象が発生しないよう、より一層のセキュリティ強化と安全性の確保に努めてまいります。
本件に関するお客様からのお問い合わせは、下記窓口までお寄せくださいますようお願いいたします。なお、本件に限らず、弊社がお客様にメールや電話、SNSなどでパスワードやクレジットカード番号をおうかがいすることはございませんので、ご留意くださいますようお願い申し上げます。
【本件に関するお客様向けのお問い合わせ先】
株式会社ギフティ お客様窓口
お問い合わせフォーム:https://giftee.co/contact/entry
お問い合わせ専用メールアドレス:support@giftee.co
受付時間:10:00~17:00 土・日・祝を除く
《第一報》弊社個人向けカジュアルギフトサービス「giftee」への不正アクセスの発生とパスワード変更のお願いについて
弊社が運営する、個人向けカジュアルギフトサービス「giftee」(以下、giftee)において、外部で不正に取得されたと思われるID(メールアドレス)・パスワードを使った「なりすまし」による不正アクセスが発生しましたことを、2020年8月24日(月)に確認いたしました。今後、調査の進捗に応じて状況が変動する可能性はございますが、現時点で確認できております事実と対応についてご報告いたします。
今回起こった不正アクセスは、2020年8月19日(水)から8月24日(月)にかけて「リスト型アカウントハッキング(リスト型攻撃)」の手法で行われ、現時点で判明している範囲で不正ログインが確認されたアカウント数は、337件となります。そのうち、一部のお客様につきましては不正ログイン後に登録内容を改ざんされ、不正決済が行われたことを確認いたしました。
お客様や関係者の皆様には、ご迷惑とご心配をおかけいたしますこと、深くお詫び申し上げます。今後は同様の事象が発生しないよう、より一層のセキュリティ強化と安全性の確保に努めてまいります。
(1)不正ログインが確認されたお客様のアカウント数
「giftee」に会員登録いただいているユーザーアカウントのうち、337件
(2)閲覧された可能性のあるお客様の個人情報
・ご登録いただいているニックネーム
・メールアドレス、性別、生年月日、購入履歴
また「giftee」にクレジットカード情報を登録いただいているお客様については、以下の情報も閲覧された可能性があります。
・クレジットカード情報の一部 (有効期限、クレジットカード番号の下4桁)
※ただし、クレジットカードの番号、CVV番号(クレジットカードセキュリティコード)については弊社システムでは保有していないため、今回の不正ログインにより漏洩することはありません。
(3)対応
お客様から「身に覚えのない登録情報変更の通知メールが届いた」という問い合わせが複数あったことを受け、調査を進めたところ、2020年8月19日(水)から8月24日(月)にかけて、不正ログインが試行されたことを確認しました。「giftee」での対策としまして、ログイン画面に対するセキュリティ設定を強化した上、アクセスについても監視を強化しております。
お客様への対応としまして、不正ログインが確認されたアカウント337件については、同年8月24日(月)にアカウント自体を無効化し、再会員登録のお願いをメールにて個別にご連絡しております。また、そのうち不正決済が行われた29名のお客様に対しましても、同様に弊社からメールにて個別にご連絡をさせていただき、決済代行会社と連携の上、決済の取り消し手続きを進めております。
また、本事案については、警視庁に通報及び相談をしております。
(4)お客様へのお願い
gifteeをご利用のお客様は、不正ログインを防止するため、 以下の点にご協力をお願いいたします。
・他社サービスとは異なるパスワードを設定する。
・第三者が容易に推測できるパスワードを使用しない。
今回の不正ログインの手法は、他社サービスから流出した可能性のあるメールアドレス・パスワードを利用した「リスト型アカウントハッキング(リスト型攻撃)」の手法で行われていると推測されます。そのため、他社サービスと同じパスワードを設定している場合は、不正ログインの対象となる可能性があります。他社サービスと同じパスワードの設定を避けることで、リスト型攻撃を防ぐ対策となります。
本件に関して個別にご連絡を差し上げているお客様以外のアカウントにおける不正ログインは確認されておりませんが、他社サービスと同一のメールアドレス・パスワードをご利用の方は、速やかにパスワードをご変更くださいますようにお願いいたします。弊社は、お客様情報の保護を最優先事項と認識しており、この度の事態の発生を真摯に受け止め、不正ログインの監視強化など、より一層お客様が安全・安心にサービスを利用できる環境を整備してまいります。
(ご参考)「リスト型アカウントハッキング(リスト型攻撃)」に関する総務省報道資料
http://www.soumu.go.jp/menu_news/s-news/01ryutsu03_02000063.html
本件に関するお客様からのお問い合わせは、下記窓口までお寄せくださいますようお願いいたします。なお、本件に限らず、弊社がお客様にメールや電話、SNSなどでパスワードやクレジットカード番号をおうかがいすることはございませんので、ご留意くださいますようお願い申し上げます。
【本件に関するお客様向けのお問い合わせ先】
株式会社ギフティ お客様窓口
お問い合わせフォーム:https://giftee.co/contact/entry
お問い合わせ専用メールアドレス:support@giftee.co
受付時間:10:00~17:00 土・日・祝を除く